计算机操作系统第三版第9章精讲.ppt

第九章　系 统 安 全 性 ;9.1　系统安全的基本概念 ;　　(2) 数据完整性(Data Integrity)：指未经授权的用户不能擅自修改系统中所保存的信息，且能保持系统中数据的一致性。这里的修改包括建立和删除文件以及在文件中增加新内容和改变原有内容等。 　　(3) 系统可用性(System Availability)：指授权用户的正常请求能及时、正确、安全地得到服务或响应。或者说，计算机中的资源可供授权用户随时进行访问，系统不会拒绝服务。但是系统拒绝服务的情况在互联网中却很容易出现，因为连续不断地向某个服务器发送请求就可能会使该服务器瘫痪，以致系统无法提供服务，表现为拒绝服务。 ;　　2．系统安全的性质 　　系统安全问题涉及面较广，它不仅与系统中所用的硬、软件设备的安全性能有关，而且也与构造系统时所采用的方法有关，这就导致了系统安全问题的性质更为复杂，主要表现为如下几点： 　　(1) 多面性。在较大规模的系统中，通常都存在着多个风险点，在这些风险点处又都包括物理安全、逻辑安全以及安全管理三方面的内容，其中任一方面出现问题，都可能引起安全事故。 ;　　(2) 动态性。由于信息技术的不断发展和攻击者的攻击手段层出不穷，使得系统的安全问题呈现出动态性。例如，在今天还是十分紧要的信息，到明天可能就失去了作用，而同时可能又产生了新的紧要信息；又如，今天还是多数攻击者所采用的攻击手段，到明天却又较少使用，而又出现了另一种新的攻击手段。这种系统安全的动态性，导致人们无法找到一种能将安全问题一劳永逸地解决的方案。 ;　　(3) 层次性。系统安全是一个涉及诸多方面、且相当复杂的问题，因此需要采用系统工程的方法来解决。如同大型软件工程一样，解决系统安全问题通常也采用层次化方法，将系统安全的功能按层次化方式加以组织，即首先将系统安全问题划分为若干个安全主题(功能)作为最高层；然后再将其中一个安全主题划分成若干个子功能作为次高层；此后，再进一步将一个子功能分为若干孙功能；其最低一层是一组最小可选择的安全功能，它不可再分解。这样，利用多个层次的安全功能来覆盖系统??全的各个方面。 ;　　(4) 适度性。当前几乎所有的企、事业单位在实现系统安全工程时，都遵循了适度安全的准则，即根据实际需要，提供适度的安全目标加以实现。这是因为：一方面，由于系统安全的多面性和动态性，使得对安全问题的全面覆盖难于实现；另一方面，即使是存在着这样的可能，其所需的资源和成本之高，也是难以令人接受的。这就是系统安全的适度性。 ;9.1.2　系统安全威胁的类型 　　(1) 假冒(Masquerading)用户身份。这种类型也称为身份攻击，指用户身份被非法窃取，亦即，攻击者伪装成一个合法用户，利用安全体制所允许的操作去破坏系统安全。在网络环境下，假冒者又可分为发方假冒和收方假冒两种。为防止假冒，用户在进行通信或交易之前，必须对发方和收方的身份进行认证。 ;　　(2) 数据截取(Data Interception)。未经核准的人可能通过非正当途径截取网络中的文件和数据，由此造成网络信息的泄漏。截取方式可以是直接从电话线上窃听，也可以是利用计算机和相应的软件来截取信息。 　　(3) 拒绝服务(Denial of Server)。这是指未经主管部门的许可，而拒绝接受一些用户对网络中的资源进行访问。比如，攻击者可能通过删除在某一网络连接上传送的所有数据包的方式，使网络表现为拒绝接收某用户的数据；还可能是攻击者通过修改合法用户的名字，使之成为非法用户，从而使网络拒绝向该用户提供服务。 ;　　(4) 修改(Modification)信息。未经核准的用户不仅可能从系统中截获信息，而且还可以修改数据包中的信息，比如，可以修改数据包中的协议控制信息，使该数据包被传送到非指定的目标；也可修改数据包中的数据部分，以改变传送到目标的消息内容；还可能修改协议控制信息中数据包的序号，以搅乱消息内容。 　　(5) 伪造(Fabrication)信息。未经核准的人可将一些经过精心编造的虚假信息送入计算机，或者在某些文件中增加一些虚假的记录，这同样会威胁到系统中数据的完整性。 ;　　(6) 否认(Repudiation)操作。这种类型又称为抵赖，是指某人不承认自己曾经做过的事情。如某人在向某目标发出一条消息后却又矢口否认；类似地，也指某人在收到某条消息或某笔汇款后不予承认的做法。 　　(7) 中断(Interruption)传输。这是指系统中因某资源被破坏而造成信息传输的中断。这将威胁到系统的可用性。中断可能由硬件故障引起，如磁盘故障、电源掉电和通信线路断开等；也可能由软件故障引起。 　;　　(8) 通信量分析(Traffic Analysis)。攻击者通过窃听手段窃取在线路中传输的信息，再考察数据包中的协议